Informazioni sul CVE-2024-25121
Improper Access Control Persisting File Abstraction Layer Entities via Data Handler in TYPO3
CWE ID: CWE-200
Base Score (CVSS): N/A
CVE: CVE-2024-25121
Descrizione: TYPO3 è un sistema di gestione di contenuti web open source basato su PHP, rilasciato sotto la GNU GPL. In versioni di TYPO3 colpite, le entità del Layer di Abstractazione dei File (FAL) potevano essere persistite direttamente tramite `DataHandler`. Questo permise agli attaccanti di fare riferimento ai file nel deposito di fallback direttamente e recuperare i nomi e i contenuti dei file. Lo deposito di fallback (“zero-storage”) è utilizzato come una camada di compatibilità posteriore per i file situati al di fuori di un adeguato sistema di archiviazione dei file configurati e all’interno della directory web pubblica. Sfruttare questa vulnerabilità richiede un account utente backend valido. Gli utenti sono consigliati ad aggiornare a TYPO3 versione 8.7.57 ELTS, 9.5.46 ELTS, 10.4.43 ELTS, 11.5.35 LTS, 12.4.11 LTS, o 13.0.1 che risolvono il problema descritto. Quando persistono le entità del Layer di Abstractazione dei File direttamente tramite `DataHandler`, le entità `sys_file` sono ora negate per impostazione predefinita, e le entità `sys_file_reference` & `sys_file_metadata` non sono più autorizzate a fare riferimento ai file nel deposito di fallback. Quando si importa dati da origini sicure, questo deve essere esplicitamente abilitato nella corrispondente istanza di `DataHandler` utilizzando `$dataHandler->isImporting = true;`.
Vettore di attacco CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Network, Privilegi: Low, Interazione utente: None, Confidenzialità: High, Integrità: Low, Disponibilità: None.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | N | Network | L’attacco può essere eseguito da remoto attraverso la rete. |
| Attack Complexity (AC) | L | Low | L’attacco non richiede condizioni particolari. |
| Privileges Required (PR) | L | Low | Richiede pochi privilegi. |
| User Interaction (UI) | N | None | Non è richiesta interazione dell’utente. |
| Scope (S) | U | Unchanged | Il raggio d’azione non cambia. |
| Confidentiality Impact (C) | H | High | Grave impatto sulla riservatezza. |
| Integrity Impact (I) | L | Low | Impatto limitato. |
| Availability Impact (A) | N | None | Nessun impatto sulla disponibilità. |
Riferimenti esterni
- https://github.com/TYPO3/typo3/security/advisories/GHSA-rj3x-wvc6-5j66
- https://typo3.org/security/advisory/typo3-core-sa-2024-006
Prodotti interessati
- TYPO3 – typo3
Relazioni con altri prodotti
Produttore:TYPO3
Prodotto: TYPO3
Anno: 2024
CWE: CWE-200
CVSS: 0.0